TrueBusiness Techno Notes May17 | Page 9
้
ตรงกับช�อธนาคาร ทำให้เหมือนเป็นการเช�อมต่อกับเว็ปไซต์ จริงแบบปกติ โดยพบว่าเม�อ 6 เดือนก่อนหน้าเหตุการณ์นี HTTPS Certificate ถูกนำมาใช้กับ Let ’ s Encrypt องค์กร Certificate ที่ไม่แสวงหาผลประโยชน์ ซึ่ง จอร์ช อาส ผู ้ก่อตั ้ง Let ’ s Encrypt กล่าวว่า “ หากใครสามารถควบคุม DNS และได้ควบคุมโดเมนเนม อาจจะเป็นไปได้ที ่ผู ้นั ้นจะได้ Certificate จากเรา การนำ Certificate ไปใช้ในลักษณะ นี ้ไม่ใช่อาการผิดปกติในมุมมองของเรา เน�องจากผู ้ที ่ขอรับ Certificate ได้แสดงตัวว่าเขามีสิทธิควบคุมโดเมนนั้น ๆ อย่างถูกต้อง ” จึงทำให้แฮกเกอร์สามารถขโมยเอาข้อมูล การล็อคอินของผู ้ใช้งาน ทั ้ง Username และ Password ไปจากเว็ปไซต์ของธนาคารบนที่อยู่เว็ปไซต์ที่ถูกต้อง ( Legitimate Web Addresses ) ได้อย่างง่ายดาย และ เช�อว่าแฮกเกอร์เหล่านี ้ทำถึงขนาดเปลี ่ยนแปลงเส้นทางการ ทำธุรกรรมทางการเงินจากตู ้เอทีเอ็ม หรือระบบ Pointof-Sale ไปยังเซิร์ฟเวอร์ของพวกเขา และกวาดเอาข้อมูล เครดิตการ์ดของลูกค้าทุกคนที่ใช้ในบ่ายวันนั้นไปด้วย
เหล่าแฮกเกอร์ได้โจมตีธนาคาร โดยจัดการบัญชีโดเมนเนม ของธนาคารที ่ได้จดโดเมนเนมไว้กับ NIC . br ซึ ่งเป็นผู ้เก็บ บัญชีโดเมนเนมสำหรับเว็ปไซต์อันดับต้น ๆ ของนามสกุล . br ในบราซิล โดยเช�อว่าสิทธิ์ในการเข้าถึงนี้แฮกเกอร์ สามารถเปลี ่ยนแปลงข้อมูลการจดโดเมนเนมทุกโดเมนเนม ของธนาคารได้พร้อมกันกับการโยกเส้นทางธุกรรมการเงิน ไปยังเซิร์ฟเวอร์ที่พวกเขาได้จัดเตรียมไว้บนคลาว์ดแพลท ฟอร์มของกูเกิ้ล
ดิมิทรี เบสตูเชฟ หนึ ่งในทีมค้นคว้าของแคสเปอร์สกี ้กล่าว ว่า “ ธุรกรรมออนไลน์ทั ้งหมดของธนาคารได้ถูกโจมตีและ ถูกควบคุมโดยแฮคเกอร์นานถึง 5 - 6 ชั่วโมง หลังจาก ที ่ได้ตรวจสอบพบลูกค้าธนาคารติดมัลแวร์จากเว็ปไซต์จริง ของธนาคาร เขาได้ทำการวิเคราะห์การโจมตีแบบเรียลไทม์ ในขณะนั้น และเห็นว่าเม�อ DNS ถูกโจมตี “ แฮกเกอร์จะ กลายเป็นธนาคาร ตอนนี้ทุกอย่างเป็นของแฮกเกอร์ ”
ที่สุดแล้วการบุกเข้ายึดครองระบบดิจิทัลแบงค์กิ้งของ ธนาคารบราซิลก็สมบูรณ์แบบถึงขนาดที่ธนาคารเอง ไม่สามารถจะส่งอีเมลได้ด้วยซ้ำ “ เจ้าหน้าที ่ของธนาคารไม่ สามารถแม้กระทั่งส่งอีเมลแจ้งเตือนลูกค้า ” ดิมิทรีกล่าว เสริม “ หาก DNS ของคุณอยู่ภายใต้การควบคุมของ อาชญากรแห่งโลกไซเบอร์โดยพื้นฐานแล้ว คุณลำบาก !!”
นอกเหนือจากการทำฟิชชิ่งแล้ว เว็ปไซต์ปลอมเหล่านี้ยัง แพร่มัลแวร์ให้กับผู ้เข้าเยี ่ยมชมเว็ปไซต์ ด้วยมัลแวร์ที ่ปลอม เป็นซีเคียวริตี ้ปลั ๊กอินของธนาคาร เสนอให้ลูกค้าดาวน์โหลด ไปใช้งาน โดยมัลแวร์นี้ไม่ได้ติดเฉพาะลูกค้าที่ล็อคอินเข้า ธนาคารนี้เท่านั้น แต่ยังแพร่กระจายไปยังธนาคารอ�น ๆ อีก 8 แห่ง และยังรวมไปถึงข้อมูลเพ�อล็อคอินอีเมล , FTP , รายช�อผู้ติดต่อใน Outllook และ Exchange ทั้งหมด นี้ก็ได้ถูกเก็บไปอยู่ที่เซิร์ฟเวอร์ที่ทำหน้าที่ควบคุม และสั่ง การซึ ่งตั ้งอยู ่ในประเทศแคนาดา โดยมัลแวร์นี ้ยังมีฟังก์ชั ่น การยับยั้งการทำงานของโปรแกรมแอนตี้ไวรัส และยังมี การทำข้อความเป็นภาษาโปรตุเกส เพ�อเบี ่ยงเบนความสนใจ ให้คิดว่าแฮกเกอร์เหล่านี้อาจจะเป็นคนบราซิลอีกด้วย
้
ตรงกับช�อธนาคาร ทำให้เหมือนเป็นการเช�อมต่อกับเว็ปไซต์ จริงแบบปกติ โดยพบว่าเม�อ 6 เดือนก่อนหน้าเหตุการณ์นี HTTPS Certificate ถูกนำมาใช้กับ Let ’ s Encrypt องค์กร Certificate ที่ไม่แสวงหาผลประโยชน์ ซึ่ง จอร์ช อาส ผู ้ก่อตั ้ง Let ’ s Encrypt กล่าวว่า “ หากใครสามารถควบคุม DNS และได้ควบคุมโดเมนเนม อาจจะเป็นไปได้ที ่ผู ้นั ้นจะได้ Certificate จากเรา การนำ Certificate ไปใช้ในลักษณะ นี ้ไม่ใช่อาการผิดปกติในมุมมองของเรา เน�องจากผู ้ที ่ขอรับ Certificate ได้แสดงตัวว่าเขามีสิทธิควบคุมโดเมนนั้น ๆ อย่างถูกต้อง ” จึงทำให้แฮกเกอร์สามารถขโมยเอาข้อมูล การล็อคอินของผู ้ใช้งาน ทั ้ง Username และ Password ไปจากเว็ปไซต์ของธนาคารบนที่อยู่เว็ปไซต์ที่ถูกต้อง ( Legitimate Web Addresses ) ได้อย่างง่ายดาย และ เช�อว่าแฮกเกอร์เหล่านี ้ทำถึงขนาดเปลี ่ยนแปลงเส้นทางการ ทำธุรกรรมทางการเงินจากตู ้เอทีเอ็ม หรือระบบ Pointof-Sale ไปยังเซิร์ฟเวอร์ของพวกเขา และกวาดเอาข้อมูล เครดิตการ์ดของลูกค้าทุกคนที่ใช้ในบ่ายวันนั้นไปด้วย
เหล่าแฮกเกอร์ได้โจมตีธนาคาร โดยจัดการบัญชีโดเมนเนม ของธนาคารที ่ได้จดโดเมนเนมไว้กับ NIC . br ซึ ่งเป็นผู ้เก็บ บัญชีโดเมนเนมสำหรับเว็ปไซต์อันดับต้น ๆ ของนามสกุล . br ในบราซิล โดยเช�อว่าสิทธิ์ในการเข้าถึงนี้แฮกเกอร์ สามารถเปลี ่ยนแปลงข้อมูลการจดโดเมนเนมทุกโดเมนเนม ของธนาคารได้พร้อมกันกับการโยกเส้นทางธุกรรมการเงิน ไปยังเซิร์ฟเวอร์ที่พวกเขาได้จัดเตรียมไว้บนคลาว์ดแพลท ฟอร์มของกูเกิ้ล
ดิมิทรี เบสตูเชฟ หนึ ่งในทีมค้นคว้าของแคสเปอร์สกี ้กล่าว ว่า “ ธุรกรรมออนไลน์ทั ้งหมดของธนาคารได้ถูกโจมตีและ ถูกควบคุมโดยแฮคเกอร์นานถึง 5 - 6 ชั่วโมง หลังจาก ที ่ได้ตรวจสอบพบลูกค้าธนาคารติดมัลแวร์จากเว็ปไซต์จริง ของธนาคาร เขาได้ทำการวิเคราะห์การโจมตีแบบเรียลไทม์ ในขณะนั้น และเห็นว่าเม�อ DNS ถูกโจมตี “ แฮกเกอร์จะ กลายเป็นธนาคาร ตอนนี้ทุกอย่างเป็นของแฮกเกอร์ ”
ที่สุดแล้วการบุกเข้ายึดครองระบบดิจิทัลแบงค์กิ้งของ ธนาคารบราซิลก็สมบูรณ์แบบถึงขนาดที่ธนาคารเอง ไม่สามารถจะส่งอีเมลได้ด้วยซ้ำ “ เจ้าหน้าที ่ของธนาคารไม่ สามารถแม้กระทั่งส่งอีเมลแจ้งเตือนลูกค้า ” ดิมิทรีกล่าว เสริม “ หาก DNS ของคุณอยู่ภายใต้การควบคุมของ อาชญากรแห่งโลกไซเบอร์โดยพื้นฐานแล้ว คุณลำบาก !!”
นอกเหนือจากการทำฟิชชิ่งแล้ว เว็ปไซต์ปลอมเหล่านี้ยัง แพร่มัลแวร์ให้กับผู ้เข้าเยี ่ยมชมเว็ปไซต์ ด้วยมัลแวร์ที ่ปลอม เป็นซีเคียวริตี ้ปลั ๊กอินของธนาคาร เสนอให้ลูกค้าดาวน์โหลด ไปใช้งาน โดยมัลแวร์นี้ไม่ได้ติดเฉพาะลูกค้าที่ล็อคอินเข้า ธนาคารนี้เท่านั้น แต่ยังแพร่กระจายไปยังธนาคารอ�น ๆ อีก 8 แห่ง และยังรวมไปถึงข้อมูลเพ�อล็อคอินอีเมล , FTP , รายช�อผู้ติดต่อใน Outllook และ Exchange ทั้งหมด นี้ก็ได้ถูกเก็บไปอยู่ที่เซิร์ฟเวอร์ที่ทำหน้าที่ควบคุม และสั่ง การซึ ่งตั ้งอยู ่ในประเทศแคนาดา โดยมัลแวร์นี ้ยังมีฟังก์ชั ่น การยับยั้งการทำงานของโปรแกรมแอนตี้ไวรัส และยังมี การทำข้อความเป็นภาษาโปรตุเกส เพ�อเบี ่ยงเบนความสนใจ ให้คิดว่าแฮกเกอร์เหล่านี้อาจจะเป็นคนบราซิลอีกด้วย